Первый эшелон защиты. Периметр, или “стой, кто идет!?”

Защита периметра обычно начинается с установки файрволла или, другими словами, межсетевого экрана. В настоящее время эта технология объединяет в себе разнообразный функционал.

Помимо основной функции сегментирования сети решение включает в себя контроль приложений, потоковый антивирус, защиту от DDoS  атак, антиспам и антифишинг, IDS (intrusion detection system) и IPS (intrusion prevention system), прокси-сервер, VPN  и др. функционал, и поэтому называется NGFW – next generation firewall.

При этом многие заказчики ограничиваются установкой NGFW и антивируса на рабочие станции и считают задачу защиты периметра закрытой. Однако, в настоящее время около 60% атак являются целевыми и не регистрируются сигнатурными методами защиты. Таким образом файрволл и антивирус перестают быть таким же эффективным средством защиты как ранее и требуют дополнения средствами анализа уязвимостей, анализа трафика и борьбы с целевыми атаками, такими как решения NTA (network traffic analysis), VM (vulnerability management) или песочницей.

АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются “красные” и “синие” команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):

  • Настройки “по-умолчанию” для ПО (пароли, конфигурации и права для сервисов, незащищенные протоколы и т.п.).
  • Неэффективное разделение пользовательских и административных прав (ненужные административные права, использование сервисных учеток).
  • Неэффективный (или отсутствующий) внутренний мониторинг сети.
  • Нехватка сетевой сегментации.
  • Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО).
  • Обход системного контроля доступа (pass-the-hash, Kerberoasting, например).
  • Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.).
  • Неэффективные списки контроля доступа на сетевых ресурсах и сервисах.
  • Слабая гигиена учетных записей (легко угадываемые логины, пароли и пароли в открытом виде).
  • Неограниченное исполнение кода.

Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.

Отдельной проблемой, специфичной для российского рынка является уход западных производителей, на решениях которых у большого количества заказчиков были построены системы периметровой защиты. Отсутствие обновлений, поддержки – ослабляют защиту. Переход на отечественные решения требует новых инвестиций, стыка двух разных систем – новой и старой, переучивания сотрудников. Все это создаёт дополнительные трудности и часто является фактором отсрочки принятия принципиальных решений.

При этом следует помнить, что в среднем злоумышленник находится в сети до начала своей активности 200 дней (по результатам анализа Лаборатории Касперского). И если он закрепится сейчас, когда Вам кажется, что никто вас не атакует, то, когда вы наконец-то обновите средства защиты – он будет уже глубоко внутри, будет в ваших бэкапах, и когда он начнёт действовать –  выловить и остановить его будет гораздо сложнее. Шторм запускается в миллисекунды. А реакция человека составляет минуты и часы. Ручной режим просто уже не работает.

Как же эксперты компании ВИЗАРД предлагают решать данную проблему:

  1. Проведите аудит имеющихся политик, систем, инфраструктуры. Определите список недопустимых событий, модель поведения злоумышленника, план действий специфичный для вашей компании. Это позволит выделить наиболее вероятные вектора атак и закрыть их в первую очередь.
  2. Проведите сканирование уязвимостей или установите средства VM и пропишите регламент их использования и реакции на результаты. Такой подход часто может случить управляемым триггером срабатывания вредоносных активностей. Но мы же с вами 😊.
  3. Не откладывайте обновления системы. Например, решения Positive Technologies помогают не просто увидеть все возможные обновления, а распределить их иерархически с учетом критичности с точки зрения ИБ. Это позволит оперативно закрыть самые опасные направления.
  4. Внимательно читайте аналитику восходящих трендов атак в вашей отрасли. По статистике, при появлении информации о новой уязвимости боты начинают сканировать сети в течении 15 минут после публикации, ведущие вендоры выпускают рекомендации по защите в течение 12 часов, пользователи обновляют средства защиты месяцами… Все это время уязвимость открыта для эксплуатации.
  5. Дополняйте NGFW и антивирус средствами анализа трафика и борьбы с целевыми атаками.
  6. Доведите эти требования до ваших поставщиков или контрагентов, ведь огромное количество атак сейчас реализуется через цепочки поставки.
  7. Отдельно рассмотрите процесс анализа кода используемого вами программного обеспечения, особенно, если вы используете опенсорсное ПО, заказную разработку или пишете сами. Скачивая коды из репозиториев, часто вместе с ними качают и потенциальные угрозы. Возможно, стоит рассмотреть элементы SAST/DAST анализа при работе с ПО.

«Защитить ИТ-систему на 100% – невозможно. Новые уязвимости появляются каждый день. Но использование этих простых шагов повысит защищенность вашей организации и усложнит задачу для злоумышленника. Ведь, «не можешь устранить хакера – удлини его путь к цели».  

Мы с радостью поможем скорректировать и реализовать стратегию защиты вашей компании. Для этого достаточно всего лишь оставить заявку.

Начните уже сегодня

Обсудить проект

Оставьте заявку и мы свяжемся с вами в ближайшее время
Оставляя заявку, вы даете согласие на обработку персональных данных